隱私問題一直是區(qū)塊鏈應用落地的障礙問題之一，如何既能滿足監(jiān)管，又能不侵害數(shù)據(jù)隱私，是行業(yè)都在攻克的問題。那么，到底隱私問題為何難？有什么解決思路，以及實踐創(chuàng)新呢？零知識證明、同態(tài)加密等技術(shù)，又能否解決問題呢？裸數(shù)據(jù)交易應如何控制？

雷鋒網(wǎng)AI金融評論報道，在5月11日由北京國家會計學院主辦，區(qū)塊鏈初創(chuàng)公司靈鈦科技，能源區(qū)塊鏈實驗室，眾安科技、新加坡第三方支付公司Omise協(xié)辦的 “區(qū)塊鏈在中國的應用與產(chǎn)業(yè)發(fā)展主題論壇” 上，Chinaledger技術(shù)委員會主任白碩老師圍繞“區(qū)塊鏈中的隱私保護”的主題進行了講述。

白碩老師，現(xiàn)為Chinaledger技術(shù)委員會主任，先后就讀于清華大學、北京大學，1990年獲得理學博士，曾任中科院計算所研究員、博士生導師，軟件方面首席科學家，2002年起任上海證券交易所總工程師。

據(jù)雷鋒網(wǎng)AI金融評論現(xiàn)場了解，演講上，白碩老師除了介紹了Chinaledger提出的基于中央對手方案，也對其他方案進行了拆解分析。他認為，在區(qū)塊鏈隱私問題上，目前技術(shù)的發(fā)展程度對隱私的保護還很差，但也不能認為這就是區(qū)塊鏈的固有局限，它還有可以改進的空間。

隱私保護是很重要的，而且有現(xiàn)實的需求；如果說馬上就要實現(xiàn)，等不得那些非常完美的方案，就要兼顧隱私強度和去中心化的程度，根據(jù)自身的應用場景找一個適當?shù)钠胶?。隱私保護可以為區(qū)塊鏈進一步賦能，保護區(qū)塊鏈落地；同時可以把密碼技術(shù)加上區(qū)塊鏈在一起，加上原有的大數(shù)據(jù)，實現(xiàn)大數(shù)據(jù)的互通有無，催生化學反應和增值。

因此，從途徑看，長治久安型的理想的解決方案確實要抓緊研究，尤其是我們的密碼學界和區(qū)塊鏈跟落地直接相關(guān)，和跟技術(shù)、商業(yè)直接相關(guān)的這兩方要加快對接。此外短平快的解決方案能落地的也要盡快落地，大家要認清楚什么是可以犧牲的，什么是不能犧牲的，在里邊找一個適合自身的方案。

以下是白碩老師演講原文，雷鋒網(wǎng)AI金融評論做了不改變原意的編輯：

原來是很多單位各記各的賬，但是這個賬本之間是有關(guān)聯(lián)的，如果上了鏈，大家就可以記同一本賬，這個邏輯上就集中了。然而，記這本賬的物理位置是分散的，但機器之間還要互相達成共識。所以，集中是邏輯的集中，分散是主宰權(quán)的分散。

但是，大家都記一本賬的場景之下就會出現(xiàn)一個問題：現(xiàn)金是私人的領域，包括其他區(qū)塊鏈上記載的信息，也都需要隱私保護。而關(guān)于這個問題業(yè)界存在一些誤解，其中是兩種互相矛盾的說法：一個說法是公開透明的，一個說法是區(qū)塊鏈是匿名的，但是這個匿名只有地址是匿名的，而賬目是公開透明的。但是，區(qū)塊鏈只能是這樣了嗎？其實不是，還可以改進；另一個是說區(qū)塊鏈隱私保護已經(jīng)很好了？也不是，在這個問題上隱私保護還很差。

隱私問題從何而來

賬戶

我們具體說賬戶：

• 一個賬戶由地址來標定，而一個地址的身份同一性無法掩蓋——這次用這個地址，下次用這個地址，當然長時間跨度，一個地址可能會轉(zhuǎn)給另一個人，但是在一段確定的時間范圍內(nèi)，這個地址是同一個身份的人在用，這個無法掩蓋。

• 另外不同地址之間如果出現(xiàn)穩(wěn)定的關(guān)聯(lián)交易，也是無法掩蓋的，還是有痕跡可以尋找。

• 第三，不同的地址之間還有一些趨同交易，就是一個人有個人的手法、有個人的密碼，或者說像指紋一類的驗證信息，體現(xiàn)在人的交易行為中。這些交易行為如果出現(xiàn)趨同性，那是這個人不自覺留下的，也是無法掩蓋。

正因為有這些無法掩蓋的東西，看起來賬戶是匿名的，但是依然抵抗不了強監(jiān)管。

賬目

對于賬目問題，行業(yè)在往兩個方向使勁：一個是往右，就是去中心化，指集體見證——我希望你是公開透明的，一公開透明就可以集體見證。但是另一方面，無論是法律法規(guī)的要求還是個人隱私權(quán)利的要求，還是幾個人私下之間做一件事，希望無關(guān)人士回避等這樣的要求，都要求這目不對無關(guān)的人開放。但是這樣就出現(xiàn)一個問題——不開放怎么集體見證？

這看起來好像是矛盾的，但是這個矛盾是可以通過高級的技術(shù)來化解。

不同區(qū)塊鏈模型的解決方法和矛盾

首先我們要區(qū)分兩種見證：

• 一種是所謂的事件的時序或者時間順序的見證。區(qū)塊鏈提供了時間先后順序不可更改的確定的時序，通過一種集體見證的方式在區(qū)塊鏈上得到見證。

• 同時還有所謂有效支付的見證，比如要防止雙花、透支、出負，這些工作在不同的區(qū)塊鏈模型下有不同的解決方法。

UTXO模型

UTXO模型，比如這樣的場景：一張一張的支票，每個支票上有不同的面額，在支付的時候要把面額的總額和將要支付的標的進行比較，只有當總額大于標的的時候，支付才有效。余額模型會把這些都合并出余額，把歷史上收到的些錢匯聚成一個總的余額，這個余額和你將要支付的標的之間也要進行比較。

這兩件事情，在比特幣也好、以太坊也好，是通過一個環(huán)節(jié)完成的，但是實際上是兩件事情。在保護隱私的時候，其實就是希望還要對事件的順序，對有效支付都要有一個見證，但是有效支付的見證提出了更高的要求——我不看見這些具體的值，時間順序好像沒有什么問題，加了密，它是這個時間發(fā)生的，我仍然可以確認它是這個時間發(fā)生的。

但有效支付這個要求是有問題的——在看不見這些數(shù)額的時候，我又要確定誰比誰大；而如果我看見了，那隱私就泄露了。又不要讓人看見，又要確定誰比誰大，這比較難處理。我們可以把目前看到的一些解決隱私問題的技術(shù)投影到一個二維平面，這個二維平面其中一個坐標講的是隱私性本身的強和弱，另一個坐標講的是去中心化程度的強和弱，就是弱中心化和強中心化。

按照這樣的劃法，我們就看到直線區(qū)分出兩個集團。線的右上角是比較完美的，它能夠徹底地或者說理想地去解決剛才說的這個問題——在不見到數(shù)額的情況下去做見證。而線的左下方采用的這樣一些技術(shù)，其實它是有所犧牲的，要么犧牲了去中心化的特點，要么犧牲了隱私強度的特點，它可能去中心化做得很好，但是只能保證很弱程度的隱私保護，再強就保護不了了。要么是隱私保護得很好，但是去中心化特點沒有辦法完美地保證。

而在這個線的底下，我們看到一種馬上可用，但是是犧牲了一些東西的方法。而在這個右上方，我們看到的是理想的，兩邊都不犧牲的，但技術(shù)上還沒有成熟的方法——它們在實現(xiàn)當中效率等各方面還達不到實用，或者很少有能達到實用。所以是尺有所長、寸有所短。

零知識證明

這里是零知識證明：

S先生、M先生、P先生，M先生是一個中間人，他出題，想了兩個數(shù)，這兩個數(shù)都是100以內(nèi)的整數(shù)，然后把這兩個數(shù)加起來的和告訴了S先生，把兩個數(shù)的積告訴了P先生，然后我們就聽到了對話。S先生說我不知道A、B是多少；P先生說，我知道你不知道，我也不知道；S先生說，現(xiàn)在我知道了；P先生說，現(xiàn)在我也知道了。

假定諸位是旁邊的旁觀者U先生，聽到了他們的對話，如果沒有強大的數(shù)學知識，你會說我也知道了。整個這個過程看起來是不知道A、B是多少，但是這個過程已經(jīng)不是零知識交互了，對這個狀態(tài)有所泄露，P先生說這個話又進一步有所泄露，而一來一去大家都知道了。

這是一個數(shù)獨的題目，有人已經(jīng)做出來了，他聲稱做出來了，但是又不想讓人知道是怎么解的，怎么辦呢？大家就可以交互，因為數(shù)獨要滿足行、列加起來，都是1-9不重復。這樣的特性可以把翻過來的紙片拿下來洗牌，洗完牌以后再翻開給大家看是不是1-9。每出示一個新的行、列或者小塊，大家對他解出來這個事情就多了一份信任。這就是零知識交互的過程，在整個過程當中，他沒有泄露任何跟他解法有關(guān)的東西，只是把結(jié)果告訴大家。

采用這個原理做的，大家比較熟悉的就是去年年底上線的ZCash。ZCash的原理是非交互式的零知識證明——一次性出示一個證明，而對方拿到這個東西可以一次性驗證，不需要再交互。我們可以把這個過程分成三個區(qū)域，底下的是用戶自己收到的支票，中間黃顏色的是當前這筆交易，我們看到一般的交易只有三要素，就是誰給誰多少錢，發(fā)放方的地址、接收方的地址和轉(zhuǎn)賬的數(shù)額。

但是ZCash就多了一個要素，就是零知識證明的信息。這個信息可以證明，虛線的最上面那個區(qū)域就是無關(guān)方面，他們又要代記賬，需要為你背書，又不知道誰給誰轉(zhuǎn)了多少錢；但是這個零知識證明的信息傳上來了，可以驗證夠不夠支付。

基于零知識證明這個比較高深的密碼學原理，就能夠驗證你是否足夠完成本次支付。這種方法在不泄露本次轉(zhuǎn)賬的金額、發(fā)送方、接收方的地址，也不泄露之前的支票發(fā)送方、接收方的地址的情況下，就能夠做出是有效支付還是無效支付的判斷。對于有效的支付，他們就可以從挖礦的角度給予確認。

同態(tài)加密

除了零知識證明，還有一個叫同態(tài)加密，我們可以看成在A和B之間存在一種數(shù)學運算——進行了這個數(shù)學運算就可以得到一個結(jié)果C，相關(guān)方看到的都是明文，但是無關(guān)方不需要看見A，也不希望看見B，也不希望看見C；如果等于C，就知道這個轉(zhuǎn)賬的來往，從而確認。因為價值是守恒的，等式要成立。

同態(tài)加密想的辦法是做變換，把A、B、C變成FA、FB、FC，然后A和B之間的運算變成FA和FB之間的另外一種運算。但是這種運算是所謂同態(tài)映射，同態(tài)映射能夠做到先運算后加密和先加密后運算結(jié)果是一樣的。

有這個保證，我們就可不管用戶轉(zhuǎn)了多少錢，只需知道賬是平（守恒）的，映射完后價值沒多沒少，之間是如何分配不用管，這就是同態(tài)加密的方法。

Chinaledger提出基于中央對手的方案

Chinaledger提出了基于中央對手的方案，這個方案分成A鏈和B鏈，事件時序的見證在一條鏈上，而有效支付的見證在另外一條鏈上。這個實踐順序加密提交，提交為CCP——中央對手方，由中央對手方來解密、檢驗簽名、檢驗余額，如果是有效就實現(xiàn)過戶，然后加密再回去。

也就是說，時間順序在A鏈上進行了背書，而交易的有效性在B鏈上進行了背書，但是B鏈上并不是所有的參與者，而只是法律上大家賦予了它這個職能的中央對手方。而中央對手方方案顯然有中心化色彩。所以結(jié)果是中心化色彩很強，但是隱私保護也很強。

但是為了防止CCP本身去做壞事，還可以在B鏈上設置監(jiān)管用戶——監(jiān)管用戶既可以看到A鏈，也可以看到B鏈，只要CCP和監(jiān)管方不是共謀的，那么監(jiān)管方還可以把CCP的所有事情再檢驗一遍，這個就是Chinaledger的方案。

以太坊基于State channel的隱私保護方案

以太坊社區(qū)也提出了一個基于State channel的隱私保護方案：

一個賬本統(tǒng)一打一筆錢到智能合約里，智能合約實現(xiàn)加密，中間的明細怎么改變價值最終的版本等外邊是看不見的；等到最后交易完成，再把結(jié)果顯回到基礎上。所以中間過程部分的隱私是保護了，但是總額進來多少、出去多少，這些保護不了。

基于Tear-off的隱私保護方案

這個是基于Tear-off的隱私保護方案，相當于撕去敏感信息的盲簽名，對敏感信息和非敏感信息進行分組，讓敏感信息不出現(xiàn)。這樣的話相關(guān)人能看見敏感信息，也能看見上邊的，無關(guān)人只能看見上邊的。這種方案一定程度能保護隱私，比如交易的有效性，就需要敏感信息，而敏感信息是看不見的，交易的有效性在無關(guān)人就沒有辦法做背書，只能由相關(guān)人做背書。

所以，這就引進了公證人這樣的角色——公證人屬于相關(guān)人，能夠接收到敏感信息，所以能夠?qū)灰椎挠行赃M行驗證，但是公證人又不同于交易雙方，Chinaledger做的就是基于CCP的公正，其實道理是相同的。

現(xiàn)存大數(shù)據(jù)交易方案存在哪些弊端？

裸數(shù)據(jù)交易的痛點

區(qū)塊鏈上價值是守恒的，也知道數(shù)據(jù)是不守恒的，很低的成本就可以拷貝。裸數(shù)據(jù)交易其實有很多的痛點，大家都覺得這是不可行的。

• 首先，賣出去的數(shù)據(jù)就像潑出去的水，一擴散出去就別想控制它向更遠的地方擴散了。

• 還有數(shù)據(jù)的權(quán)屬問題，有沒有權(quán)利賣？它是在經(jīng)營過程當中形成的，但是數(shù)據(jù)的所有者可能不是你。舉個例子，病歷是病人在醫(yī)院看病的過程當中形成的，但是病歷的所有者是病人，不是醫(yī)院，醫(yī)院沒有權(quán)利賣這些數(shù)據(jù)。

• 還有是泄密。不是所有數(shù)據(jù)都可以賣，有些數(shù)據(jù)很敏感，賣出去以后是泄露別人的秘密。

• 但是不賣的話，數(shù)據(jù)在自己手里能夠帶來的價值又很有限，所以賣也不是，不賣也不是。

不賣裸數(shù)據(jù)，而賣數(shù)據(jù)API ？

那么，如果不賣裸數(shù)據(jù)，而賣數(shù)據(jù)API的使用權(quán)，就是賣一種服務行不行？但這遇到兩個問題：

• 第一個是拖庫，我賣的是f（x）；再一個是計量記賬的問題，用了多少次這個數(shù)據(jù)，沒有公認的計量的話就說不清楚。當然也有好處，反正這個x是沒拿走的，只是賣一個f（x），那個x不是自己的也沒關(guān)系，只是賣一種服務。

• 另外一種可能是以物易物。給別人開放一個接口，別人也給我開放一個接口，但問題是：使用權(quán)是不是成立？

智能合約：暴露了場景和接口，后果不堪設想

智能合約也有一個問題，就是智能合約資源的控制——資源的使用是花費的。智能合約有一個GAS的概念，舉一個場景的例子：大家各自擁有自己的數(shù)據(jù)，X和Y是不曝露出來的，而曝露出來的是場景和接口，輸出的是服務——這些服務在用戶使用的時候，實際上可以用區(qū)塊鏈進行計量，那么交易明細實際上可以直接跟付費掛鉤，銀行可以直接轉(zhuǎn)走這個付費，也可以在區(qū)塊鏈使用代幣來進行支付，這樣區(qū)塊鏈大數(shù)據(jù)的使用就完蛋了。

數(shù)據(jù)單獨的使用價值有限，而不同領域的數(shù)據(jù)一旦實現(xiàn)關(guān)聯(lián)，可能就會出現(xiàn)化學反應，從而給數(shù)據(jù)帶來增值。所以我們看到三個空間，自己的數(shù)據(jù)放在封閉空間里，然后經(jīng)過接口曝露，放出來的服務數(shù)據(jù)在開放空間里，而這個數(shù)據(jù)的化學反應是在增值空間里。

背靠背求交集

背靠背求交集，這是一種競合關(guān)系，兩方又要同時跟對方共享兩個集合的交集，但是又不想對方看到這個全集。這個曾經(jīng)有一個不靠譜的做法，就是引入第三方——為了求交集，第三方拿到了并集——第三方太便宜了，我們可能還要給他付費，而付費還不便宜，這樣的做法很危險。

也有一些沒面子的做法，實在是沒有技術(shù)手段了才這么辦？大家?guī)еP到現(xiàn)場，緊盯著對方操作，操作完了以后看著對方把硬盤砸掉。

都用哈希？

如果大家都用哈希怎么樣呢？也不行，如果一方老實地把自己的集合拿出來；不老實的一方，把電話號碼做一個全集，一求交集就把你的數(shù)據(jù)拿出來了。也可以窮舉，這個也是不靈的。

那怎么辦？解決的途徑是混淆，通過混淆能夠?qū)崿F(xiàn)背靠背求交集，自己不曝露自己的全集，而且一方面想拿到另一方的全集——事實上這樣計算上付出的代價也很大，實際上是不可能的一件事情，這樣給大家背靠背求交集帶來了一種希望。

結(jié)論

• 隱私保護是很重要的，而且有現(xiàn)實的需求；如果說馬上就要實現(xiàn)，等不得那些非常完美的方案，就要兼顧隱私強度和去中心化的程度，根據(jù)自己的應用場景找一個適當?shù)钠胶狻?/p>

• 從途徑看，長治久安型的理想的解決方案確實要抓緊研究，尤其是我們的密碼學界和區(qū)塊鏈跟落地直接相關(guān)，和跟技術(shù)、商業(yè)直接相關(guān)的這兩方要加快對接。此外短平快的解決方案能落地的也要盡快落地，大家要認清楚什么是可以犧牲的，什么是不能犧牲的，在其中找一個適合自己的方案。

• 隱私保護可以為這個區(qū)塊鏈進一步的賦能，在一些如果沒有隱私保護區(qū)塊鏈就沒有辦法落地的場景上，保護區(qū)塊鏈落地；隱私保護也可以為大數(shù)據(jù)護航，把密碼技術(shù)加上區(qū)塊鏈，加上原有的大數(shù)據(jù)，從而實現(xiàn)大數(shù)據(jù)的互通有無，實現(xiàn)化學反應和增值。

相關(guān)文章：

工信部指導的首個區(qū)塊鏈標準發(fā)布，將從四方面推動區(qū)塊鏈產(chǎn)業(yè)化進程

獨家| 可持續(xù)發(fā)展的區(qū)塊鏈公司應符合哪些特點？

獨家 | 工信部周平：為什么要區(qū)別分布式記賬和區(qū)塊鏈？判斷其應用有哪些維度？

ICO投機泛濫，區(qū)塊鏈生態(tài)還是健康的嗎？

萬向副董肖風：區(qū)塊鏈的六大治理機制

觀點 | 有區(qū)塊鏈就一定能創(chuàng)新嗎？區(qū)塊鏈改變了什么、改變不了什么？

騰訊發(fā)布企業(yè)級區(qū)塊鏈白皮書，前方有勁敵IBM

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。